今天,零信技术全球独家率先创新发布和启用零信国密证书透明日志系统,这是一个参考证书透明国际标准RFC 6962和RFC9162 并基于谷歌开源项目-证书透明日志系统的支持国密算法和国密SSL证书的国密证书透明日志系统,免费为零信浏览器信任的国密根证书CA机构提供国密SSL证书透明日志服务,将有力保障国密SSL证书的自身安全可信,从而保障我国国密https加密安全。
证书透明是谷歌牵头发起的一个国际标准,已经有效保障了74亿多张全球信任的国际算法SSL证书的安全可信,保证了各利益相关方能及时发现恶意签发或错误签发的每一张SSL证书。但是,这个国际证书透明体系不支持我国的国密算法和国密SSL证书,无法用于保障我国国密SSL证书的安全可信。所以,零信技术投入研发力量历时一年多时间成功改造了谷歌开源项目-证书透明日志系统,使其支持国密SSL证书和支持国密算法实现数字签名SCT数据,诞生了全球第一个国密证书透明日志系统。
零信国密证书透明日志系统目前已经部署了三套系统,一套部署在京东云广州节点,一套部署在中国华为云广州节点,一套部署在国外亚马逊云新加坡节点,能满足零信浏览器信任的国密根证书CA机构的证书透明日志签名需求。零信国密证书透明日志系统只接收国密算法的国密SSL证书的SCT签名请求,不接收RSA/ECC算法的SSL证书的SCT签名请求。
零信国密证书透明日志系统的三个服务网址已经预置零信浏览器信任,零信浏览器能实时验证包含了这三个服务系统的SCT签名数据。目前,证签技术和零信技术可以签发包含零信国密证书透明日志数据的国密SSL证书,并且这些支持国密证书透明的国密SSL证书已经成功对接阿里云CDN+WAF系统,实现了国密https加密、云WAF防护和CDN分发。
已经包含了国密证书透明日志数据SCT的国密SSL证书中的SCT列表信息如下图所示,左图为Windows查看SCT列表字段,由于Windows不支持国密算法,所以不能显示SCT签名数据的签名算法。而采用零信浏览器查看国密SSL证书则能显示SCT列表字段中的SCT数据的签名算法为国密SM3_SM2,如下右图所示。
国际证书透明体系已经成功保障了全球74亿张国际SSL证书的安全可信。我们坚信:国密证书透明体系也一定能成功保障我国国密SSL证书的安全可信,从而有力保障我国网络空间安全。欢迎更多的能签发国密SSL证书的CA机构尽快支持国密证书透明,提升其国密SSL证书的核心竞争力,使得国密SSL证书能真正有效地保障我国https加密安全。也希望有更多的厂商也能提供国密证书透明日志系统,特别希望我国密码主管部门能建设国家级国密证书透明日志系统,因为证书透明体系需要多个证书透明日志系统的共同协作工作,从而发挥更大的国密SSL证书和国密https加密的安全保障作用。